Début février, deux événements importants se sont déroulés autour de la fonction de Data Protection Officer, le DPO.
En effet, le 5 février dernier, l’Autorité de Protection des Données (APD) a organisé une conférence sur et pour les DPO. La conférence organisée par Anne-Charlotte Recker, la nouvelle directrice du Service de première ligne de l’APD, avait notamment pour objectif de souligner l’importance du DPO au sein des entreprises, tant publiques que privées, PME que grandes entreprises.
Quels sont leurs rôles et missions, comment peuvent-ils interagir tant avec le Service de première pigne qu’avec le Service d’inspection et la Chambre contentieuse de l’APD ? Quels sont les outils que l’APD met à leur disposition ?
Alors que la nouvelle loi organique de l’APD a finalement été votée au parlement en décembre 2023 et sera prochainement publiée au Moniteur et surtout que le Comité de direction de l’APD a enfin à nouveau 5 directeurs en poste depuis l’été 2023, l’APD se lance dans une politique de communication sur ses activités, les outils de conformité qu’elle propose mais également ses projets pour mieux répondre aux attentes tant des entreprises responsables du traitement des données qu’aux citoyens concernés.
Le DPO est le chef d’orchestre de la mise en conformité au RGPD. Il conseille, informe, sensibilise à la protection des données et est également le point de contact avec l’APD.
L’EDPB (le Comité européen de la protection des données, qui réunit toutes les autorités de contrôle européennes), a mené une vaste enquête en 2023 sur cette fonction encore mal (re)connue, notamment dans notre pays. Les résultats ont été publiés au début de cette année. Près de 6200 organisations et DPO ont été contactés et 25 autorités ont complété l’enquête. Lors de la conférence organisée les 8 et 9 février derniers à Paris par l’Association française des DPO (AFCDP), la présidente de l’EDPB, Anu Talus, a présenté les résultats de cette étude devant plus de 2000 DPO.
Le rapport révèle qu’il manque de nombreux DPO dans les entreprises, même dans celles qui doivent obligatoirement en désigner un. Encore trop souvent, les DPO ne disposent pas de ressources suffisantes pour mener à bien leurs missions, que ce soit en termes de personnes, de temps ou de moyens financiers. C’est notamment dû au fait que les directions n’attachent pas l’importance qu’il faut à la protection des données, au rôle de DPO et aux DPO eux-mêmes. Preuve en est le faible taux de reporting régulier et systématique que font les DPO au plus haut niveau de direction dans les entreprises, comme le prévoit le RGPD.
En Belgique, la fonction de DPO est relativement récente par rapport aux pays voisins. Elle est surtout apparue après l’entrée en vigueur du RGPD en 2018. Cela explique peut-être la difficulté à imposer chez nous une reconnaissance et une valorisation de cette fonction pourtant indispensable à la conformité des entreprises privées comme publiques au RGPD. Le DPO est un allié indispensable de la direction pour l’aider à bien respecter les dispositions du RGPD. C’est une fonction bien définie par le RGPD et le non-respect de ses dispositions, telles que la non-désignation d’un DPO alors qu’il est obligatoire ou le manque de moyens qui lui sont alloués pour exercer correctement ses missions sont lourdement sanctionnables. Et l’une des sanctions ultimes, qui ne figure pas dans le RGPD, est le risque réputationnel de l’entreprise prise en défaut de ne pas donner l’importance requise à la protection des données de ses clients, de ses fournisseurs, des personnes avec lesquelles elle traite.
Lire plus d'articles sur:
